Модераторы: Olej, adminn, vikos
02.10.2014
Может быть, я и раздолбай, но я твердо уверен, что подобные казусы случались со многими, кто читает эти строки.
Генерация паролей:02.10.2014
Может быть, я и раздолбай, но я твердо уверен, что подобные казусы случались со многими, кто читает эти строки.
Код: Выделить всё
[olej@dell draft-temp]$ openssl rand -base64 6
e6u2P3bw
Код: Выделить всё
[olej@dell draft-temp]$ openssl rand -base64 8
aKROQhEBaHw=
Код: Выделить всё
[olej@dell draft-temp]$ dnf list pwgen
Последняя проверка окончания срока действия метаданных: 6 days, 21:52:07 назад, Sat Dec 24 17:13:48 2016.
Доступные пакеты
pwgen.x86_64 2.07-2.fc23 fedora
[olej@dell draft-temp]$ sudo dnf install pwgen
[sudo] пароль для olej:
Последняя проверка окончания срока действия метаданных: 1:22:08 назад, Sat Dec 31 13:45:12 2016.
Зависимости разрешены.
==============================================================================================================================================
Package Архитектура Версия Репозиторий Размер
==============================================================================================================================================
Установка:
pwgen x86_64 2.07-2.fc23 fedora 29 k
Результат операции
==============================================================================================================================================
Установка 1 Пакет
Объем загрузки: 29 k
Объем изменений: 41 k
Продолжить? [д/Н]: y
Загрузка пакетов:
pwgen-2.07-2.fc23.x86_64.rpm 223 kB/s | 29 kB 00:00
----------------------------------------------------------------------------------------------------------------------------------------------
Общий размер 17 kB/s | 29 kB 00:01
Проверка транзакции
Проверка транзакции успешно завершена.
Идет проверка транзакции
Тест транзакции проведен успешно
Выполнение транзакции
Установка : pwgen-2.07-2.fc23.x86_64 1/1
Проверка : pwgen-2.07-2.fc23.x86_64 1/1
Установлено:
pwgen.x86_64 2.07-2.fc23
Выполнено!
Код: Выделить всё
[olej@dell draft-temp]$ pwgen
laecha1A phi4Baom aK5ielim oNeeh8lo EikaiS1b iexa9oHu heed3uGh ahyaip3A
Af9ooche zu5eiy5T eH9Aequa bol0Eiqu iceeP4Ch een2iePh Fohgh5du oa1aiMuu
OoGho0pi leiLae9s ENoomu8L Ziof2mee uh2naeW2 oej2Gahc ACha4ieB Ohc6iquu
zaPhe2op iH5ahxoa Lie3eghe pieX2Iez Ohqu5eiv oMaf8ief Ohl2Quu0 huZ2Tai7
yie9yoaJ Pie2IShi Eh9mee8u Id2ga3ah Xai6Ohde oj3Waifi Aepoh2ee eeJ6xeto
ahT4ahx7 ahk7oChu ephohM2i Cuico1va saoth3Oh ipho2Ien Ieze8ouJ Amieha4f
eikooW4U reiX9voo ie8aeChu ahziCee9 Neshoh0e eedohp9N beeR0hee Ohjeech0
EeghieB7 Eeboh2so saZ4eiso Ahl2IGha Ey7Uphi2 Eech3nah oo1Xiema kie9aiW7
AhfeoC9a UYai2Oot tha7Ael1 Ohrox3em ohf7Otha AeBah5os yienahL1 Ju6quaiX
Moo7Ohng iejaeV5I Aigoh0AN Aih2mowi ze7chooJ Ci6axooy lahGoo5I Rui6Puse
Xieyaa9y eeh1Oox1 jiesh7Us aexao6Ie dee0yeSu ixuQu6Ik Chooc1oo aefi7Roo
amied7uH fohRief9 ohGhah2e Chai5ook ab8Eekai neiZau7J aj3aB8go taeC0hae
Neix7ahz aiP9vahl eCh0aith ji4EiCha yah0aiK3 Eez2Eiti Too6iciu Helaugh3
thu7Epe7 Oogh7AeJ eecahK5o La9phoht lu9sePhi Thol6ooS Eepho1Du Woht3Foo
aWahf0za Phie6Quo phi7Fae3 ohTh9Och Eich2Eek zie1Yee5 aij1eiR8 airoo1Qu
eeF3ieXi iowoo6eM Kieph2An eiT7yiur shieTh2w miaqu3Ub iedooS0w Ahsik2th
Iem1yi9h AeBei8su aaGh7Goh aib1eiJo Zicai2sa ahzaiT5o eephiu8E Eibie3uv
Hai9lai1 Ithoowu3 lamiiY2p zahz5aeZ uow9Eet0 EiT5uu0j Iebaish0 Ep1fahsi
eeX3Ieba vax8ieSa toh7Ail3 ohrohM4v phahY4yu pooyae5A teiTh7ne the4Sie7
uMej6sha ceiTh8qu xaig7Ra5 ainge4Ma oit6aiL9 aPh3ee4u ahfo9suW Iezae4va
Код: Выделить всё
[olej@dell draft-temp]$ pwgen -Bs 10 1
Ta5JAMcQwX
Olej писал(а):Евгений Зобнин, Гайд по обеспечению безопасности Linux-системы
Где хранить пароли? Сегодня у каждого юзера их так много, что хранить все в голове просто невозможно. Довериться системе автосохранения браузера? Можно, но кто знает, как Google или Mozilla будет к ним относиться. Сноуден рассказывал, что не очень хорошо. Поэтому пароли надо хранить на самой машине в зашифрованном контейнере. Отцы-основатели рекомендуют использовать для этого KeePassX. Штука графическая, что не сильно нравится самим отцам-основателям, но зато работает везде, включая известный гугль-зонд Android (KeePassDroid). Останется лишь перекинуть базу с паролями куда надо.
Код: Выделить всё
[olej@dell draft-temp]$ dnf list KeePassX
Последняя проверка окончания срока действия метаданных: 6 days, 22:56:00 назад, Sat Dec 24 17:13:48 2016.
Доступные пакеты
keepassx.x86_64 1:2.0.3-1.fc23 updates
Код: Выделить всё
[olej@dell draft-temp]$ sudo dnf install keepassx
[sudo] пароль для olej:
Последняя проверка окончания срока действия метаданных: 2:31:58 назад, Sat Dec 31 13:45:12 2016.
Зависимости разрешены.
==============================================================================================================================================
Package Архитектура Версия Репозиторий Размер
==============================================================================================================================================
Установка:
keepassx x86_64 1:2.0.3-1.fc23 updates 612 k
Результат операции
==============================================================================================================================================
Установка 1 Пакет
Объем загрузки: 612 k
Объем изменений: 1.9 M
Продолжить? [д/Н]: y
Загрузка пакетов:
keepassx-2.0.3-1.fc23.x86_64.rpm 637 kB/s | 612 kB 00:00
----------------------------------------------------------------------------------------------------------------------------------------------
Общий размер 287 kB/s | 612 kB 00:02
Проверка транзакции
Проверка транзакции успешно завершена.
Идет проверка транзакции
Тест транзакции проведен успешно
Выполнение транзакции
Установка : keepassx-1:2.0.3-1.fc23.x86_64
В KeePassX есть свой генератор паролей
Olej писал(а):Евгений Зобнин, Гайд по обеспечению безопасности Linux-системы
(про то как это работает прочитаете сами в публикацииШифруемся
...
В Linux можно найти тонны средств шифрования всего и вся, от разделов на жестком диске до одиночных файлов. Три наиболее известных и проверенных временем инструмента — это dm-crypt/LUKS, ecryptfs и encfs. Первый шифрует целые диски и разделы, второй и третий — каталоги с важной информацией, каждый файл в отдельности, что очень удобно, если потребуется делать инкрементальные бэкапы или использовать в связке с Dropbox. Также есть несколько менее известных инструментов, включая TrueCrypt например.
Сразу оговорюсь, что шифровать весь диск целиком — задача сложная и, что самое важное, бесполезная. Ничего особо конфиденциального в корневом каталоге нет и быть не может, а вот домашний каталог и своп просто кладезь инфы. Причем второй даже больше, чем первый, так как туда могут попасть данные и пароли уже в расшифрованном виде (нормальные программеры запрещают системе скидывать такие данные в своп, но таких меньшинство). Настроить шифрование и того и другого очень просто, достаточно установить инструменты ecrypts:И, собственно, включить шифрование:Код: Выделить всё
$ sudo apt-get install ecryptfs-utilsКод: Выделить всё
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
) В этом определённо есть смысл!Olej писал(а): Я всегда с большим подозрением относился к идее шифрования раздела диска или домашнего каталога - из-за возможности (пусть даже самой маловероятной потерять свою информацию).
Но описанная здесь техника шифрования своп-раздела + отдельного каталога ~/Private (для самой конфиденциальной информации) кажется очень разумной!
Код: Выделить всё
[olej@dell draft-temp]$ dnf list ecryptfs*
Последняя проверка окончания срока действия метаданных: 2:26:25 назад, Sat Dec 31 16:28:58 2016.
Доступные пакеты
ecryptfs-utils.i686 111-1.fc23 updates
ecryptfs-utils.x86_64 111-1.fc23 updates
ecryptfs-utils-devel.i686 111-1.fc23 updates
ecryptfs-utils-devel.x86_64 111-1.fc23 updates
ecryptfs-utils-python.x86_64 111-1.fc23 updates
Код: Выделить всё
[olej@dell draft-temp]$ sudo dnf install ecryptfs-utils
[sudo] пароль для olej:
RPM Fusion for Fedora 23 - Free - Updates 788 kB/s | 371 kB 00:00
Последняя проверка окончания срока действия метаданных: 0:00:02 назад, Sat Dec 31 18:58:40 2016.
Зависимости разрешены.
==============================================================================================================================================
Package Архитектура Версия Репозиторий Размер
==============================================================================================================================================
Установка:
ecryptfs-utils x86_64 111-1.fc23 updates 190 k
Результат операции
==============================================================================================================================================
Установка 1 Пакет
Объем загрузки: 190 k
Объем изменений: 612 k
Продолжить? [д/Н]: y
Загрузка пакетов:
ecryptfs-utils-111-1.fc23.x86_64.rpm 593 kB/s | 190 kB 00:00
----------------------------------------------------------------------------------------------------------------------------------------------
Общий размер 116 kB/s | 190 kB 00:01
Проверка транзакции
Проверка транзакции успешно завершена.
Идет проверка транзакции
Тест транзакции проведен успешно
Выполнение транзакции
Установка : ecryptfs-utils-111-1.fc23.x86_64 1/1
getsebool: SELinux is disabled
Проверка : ecryptfs-utils-111-1.fc23.x86_64 1/1
Установлено:
ecryptfs-utils.x86_64 111-1.fc23
Выполнено!
Код: Выделить всё
[olej@dell draft-temp]$ ls /usr/bin/ecryptfs*
/usr/bin/ecryptfs-add-passphrase /usr/bin/ecryptfs-migrate-home /usr/bin/ecryptfs-setup-swap
/usr/bin/ecryptfsd /usr/bin/ecryptfs-mount-private /usr/bin/ecryptfs-stat
/usr/bin/ecryptfs-find /usr/bin/ecryptfs-recover-private /usr/bin/ecryptfs-umount-private
/usr/bin/ecryptfs-generate-tpm-key /usr/bin/ecryptfs-rewrap-passphrase /usr/bin/ecryptfs-unwrap-passphrase
/usr/bin/ecryptfs-insert-wrapped-passphrase-into-keyring /usr/bin/ecryptfs-rewrite-file /usr/bin/ecryptfs-verify
/usr/bin/ecryptfs-manager /usr/bin/ecryptfs-setup-private /usr/bin/ecryptfs-wrap-passphrase
Там ещё есть ряд любопытных мелочей ... сами почитаетеOlej писал(а):Евгений Зобнин, Гайд по обеспечению безопасности Linux-системы
Выводы
Вот и все. Не вдаваясь в детали и без необходимости изучения мануалов мы создали Linux-box, который защищен от вторжения извне, от руткитов и прочей заразы, от непосредственно вмешательства человека, от перехвата трафика и слежки. Остается лишь регулярно обновлять систему, запретить парольный вход по SSH, убрать лишние сервисы и не допускать ошибок конфигурирования.
Автор: Kyle Rankin
Дата публикации: 27 мая 2016 г.
Перевод: А.Панин
Дата перевода: 13 июня 2016 г.
...
И продолжения (переводов):При разговоре о безопасности систем Linux обычно рассматриваются вопросы безопасного функционирования серверов. В процессе выполнения мероприятий, направленных на защиту серверов, чаще всего прибегают к ограничению возможностей отдельных серверов, а также к задействованию межсетевых экранов с целью разрешения лишь необходимых сетевых взаимодействий между ними. В случае использования на сервере современного программного окружения, в котором исполняется лишь демон SSH, а также один или несколько сетевых сервисов у взломщика остается не так уж и много возможностей для проникновения. Если же определенный сервер все же подвергается взлому, идеальным вариантом действий является своевременное установление факта взлома, изоляция скомпрометированного сервера и устранение последствий взлома с условием поддержания работоспособности всей остальной инфраструктуры.
Подход к обеспечению безопасности настольных систем Linux принципиально отличается от описанного выше ввиду широкого спектра операций, выполняемых с использованием настольных компьютеров. Каждое действие, которое выполняется с помощью настольного компьютера, открывает новый путь его компрометации. Веб-серфинг, особенно в том случае, если в вашей системе все еще установлены такие небезопасные плагины для веб-браузера, как Flash, является одним из основных путей компрометации настольной системы. Сообщения электронной почты являются еще одним популярным вектором атаки, так как пользователю нужно лишь открыть вредоносное вложение или нажать на фишинговую ссылку для того, чтобы атака прошла успешно. Настольные системы Linux обычно используются в качестве платформ для разработки программных компонентов и это означает, что их пользователи могут загружать, компилировать или исполнять чей-либо код, а также использовать программные компоненты, собранные на основе собственноручно написанного кода. Хотя некоторые пользователи Linux и могут ехидно улыбаться при разговоре о вредоносном программном обеспечении для других платформ, фактически их представления сформировались в то время, когда в качестве настольной системы могла использоваться лишь ОС Windows, при этом на сегодняшний день многое вредоносное программное обеспечение изначально является кросплатформенным и может функционировать в различных операционных системах.
Защищенная операционная система Qubes для настольных компьютеров: разделение задачЭто вторая статья из серии об операционной системе Qubes.
Это третья статья из серии статей об использовании операционной системы Qubes.
Совсем не обязательно использовать вот эту частную операционную систему Qubes ... просто сама идея очень интересная:
, даже если прорвётся в такую подсистему, будет до бесконечности кружить как придурок в этой песочнице... 
Так уж получилось, что часть руководств и публикаций по этой теме оседает в соседней теме Ресурсы по безопасности:Olej писал(а):Начинаем большую общую тему о безопасности компьютеров и информационных систем от внешних угроз...
(больше ссылки, цитаты и обсуждение публикаций ... чем чего-то другого, зачастую без комментариев)
) из внешней сети.Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя